Tanda tangan berikut tidak valid: EXPKEYSIG 1397BC53640DB551

90

Ini adalah Masalah 952287: [Umpan Balik Pengguna - Stabil] Laporan Chrome untuk Linux gagal menginstal / memperbarui karena kunci penandatanganan GPG yang kadaluwarsa

Hari ini, menjalankan aptsemua mesin saya memberikan kesalahan ini dengan Google PPA (untuk google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Sudah mencoba mengimpor kunci GPG lagi dengan:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Sumber: Repositori Perangkat Lunak Google Linux

EDIT: tambahkan garis kesalahan dalam bahasa Spanyol untuk visibilitas yang lebih baik:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: dan Prancis (untuk mencakup 3 bahasa teratas ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

— Leo
sumber

11

Itu terjadi pada saya juga.

— Fred

8

tingkatkan tautan ini support.google.com/chrome/thread/4032170?hl=id dan tunggu! Kita tidak bisa berbuat apa-apa lagi.

— Carlos Alberto Silveira de Dan

1

Saya telah menambahkan tautan ke laporan bug di bagian atas pos. Jangan ragu untuk memindahkannya atau menghapusnya.

— DK Bose

4

Saya pikir itu sudah diperbaiki sekarang

— Leo

1

Ini terjadi pada saya hari ini, 8 hari kemudian dan itu masih terjadi.

— Gregory Smitherman

64

Ini adalah perlindungan yang Anda dapatkan dari cek ini. Anda tidak ingin memperbarui perangkat lunak Anda saat ini sementara ada sesuatu yang kacau di Google. Tunggu sampai mereka memperbaikinya. Jangan mencoba menimpa dengan menginstal ulang kunci sampai beberapa kata resmi keluar bahwa kunci baru adalah solusinya.

— Yareckon
sumber

9

Menunggu sampai mereka memperbaikinya mungkin bukan opsi untuk semua. Misalnya ini melanggar pipa CI untuk kita. Jika sekarang apa yang Anda lakukan, Anda dapat mengambil risiko dan menonaktifkan pemeriksaan untuk repo ini untuk saat ini dengan menambahkan [trusted=yes]konfigurasi itu:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main

— jelhan

4

Ini bukan pertama kalinya ini terjadi. Saya ingat memiliki masalah yang sama dengan google ini setidaknya 2 kali lebih banyak selama beberapa tahun terakhir. Saya ingin tahu apa yang terjadi di Google dan mengapa mereka tidak dapat menyimpan barang-barang mereka bersama.

— Michael Härtl

4

@ jelhan Itu sebabnya pipa CI idealnya memanfaatkan mirror / cache lokal daripada langsung ke hulu.

— Konrad Rudolph

2

@ MichaelHärtl Saya sudah menonton Google dan meritokrasi sepertinya tidak populer.

— DK Bose

6

trusted=yesmengalahkan seluruh tujuan penandatanganan digital dan pada dasarnya kompromi seluruh sistem Anda. Anda seharusnya tidak melakukan itu dengan mudah, terutama bukan ide yang bagus untuk "penyelesaian sementara".

— kissgyorgy

33

Tampaknya Google tidak memperpanjang validitas sertifikat penandatanganan ... itu karena akan berakhir hari ini dan memang demikian. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

mungkin Google akan mengubahnya, hari ini atau lebih ... maka pembaruan sertifikat akan berfungsi dengan baik dan semuanya akan kembali normal.

— DooMMasteR
sumber

15

masalah diselesaikan oleh Google Abr 12/2019 (Hanya Google Chrome. Diuji di Ubuntu 18.04.x)

Tidak ada yang bisa dilakukan. Repositori telah ditandatangani

Perbarui apr 19/2019:

Tim Google telah mengkonfirmasi bahwa perbaikan tambahan telah dilakukan untuk produk Google non-Chrome lainnya

sumber: https://support.google.com/chrome/thread/4032170

— ajcg
sumber

1

Di mana Anda melaporkan itu? Google masih belum memperbaikinya pada repositori lain tertentu, misalnya Manajer Musik, jadi saya ingin melaporkannya juga.

— Paddy Landau

9

Sepertinya kunci masuk Google kedaluwarsa. Bersabarlah dan tunggu mereka memperbaikinya (yang mungkin atau mungkin tidak perlu menambahkan kembali kunci setelah mereka memperbaikinya).

— paed808
sumber

1

Bagi siapa pun yang tidak cukup sabar bagi google untuk memperbarui ...

Anda dapat memperbaikinya dengan langkah-langkah berikut:

Unduh ini: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(versi baru chrome, Anda bisa mendapatkannya sendiri dengan googling chrome)

Tutup Chrome.
Buka "Perangkat Lunak dan Sumber", buka tab "Sumber"
Hapus (atau nonaktifkan jika Anda ingin mengaktifkannya kembali di lain waktu) sumber Google (ketikkan kata sandi Anda) dan tutup jendela
Izinkan "Perangkat Lunak dan Sumber" memuat ulang sumber
Masuk ke Pusat Perangkat Lunak, buka "Diinstal"
Temukan Chrome, hapus instalannya.
Tutup perangkat lunak dan sumbernya
Buka terminal, ketik:

sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y
Tutup terminal dan buka folder unduhan Anda dan klik dua kali file "google-chrome-stable_current_amd64.deb" (ini akan membuka Pusat Perangkat Lunak)
Klik Pasang

Anda sekarang dapat membuka kembali chrome. semua tab dan kata sandi tersimpan Anda, dll masih ada.

— tatsu
sumber

@CarlosAlbertoSilveiradeAnd berkata "Hebat !!, bekerja untuk saya! Terima kasih" tetapi sebagai edit pada posting saya karena dia belum tahu bagaimana menggunakan situs ini .... Saya menambahkannya sehingga orang tahu itu bekerja untuk seseorang.

— tatsu

1

15 April, dan saya masih mendapatkan kesalahan ini dengan repositori Google Earth and Music Manager. Mereka pasti mengambil waktu yang manis dengan ini.

— MikeF
sumber

0

Kamu tidak. Anda harus menunggu Google untuk memperbarui kunci mereka dan untuk pembaruan.

Pesan penting adalah:

Tanda tangan berikut tidak valid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Otoritas Penandatanganan Paket Linux)

Ini berarti bahwa tanda tangan kriptografis tidak valid. Sumbernya bisa berupa serangan, kesalahan konfigurasi, atau masalah teknis lainnya. Memaksa sistem Anda untuk memperbarui akan menghasilkan menjalankan versi peramban web Anda yang tidak diverifikasi, yang dapat menyebabkan Anda mengalami banyak masalah keamanan.

sumber

— sxn
sumber

0

Google perlu memperbarui kunci GPG di sana. Namun Anda dapat menandai sumber deb sebagai tepercaya, hingga Google memperbarui kunci mereka:

cd /var/lib/apt/lists
sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg
tambahkan file /etc/apt/sources.list.d/google-chrome.listtrusted=yes Anda , agar terlihat seperti ini:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
apt clean
apt update

Anda masih mendapatkan kesalahan GPG yang tidak valid, tetapi Anda dapat mengabaikannya untuk saat ini.

CATATAN : Hati-hati karena ini dapat menyebabkan masalah keamanan, pada jaringan yang tidak tepercaya, ketika tidak ada https yang digunakan dalam tautan sumber deb.

EDIT: Peringatan GPG tidak lagi muncul. Google telah memperbarui kunci mereka. Jika Anda mengikuti solusi di atas, hapus trusted=yesbagiannya, lalu apt clean& akhirnya apt update. Anda seharusnya tidak lagi melihat kesalahan: D

— Dimitris Moraitidis
sumber

2

Jangan lakukan ini. Jika karena alasan lain tidak ada sumber yang tidak terenkripsi. Jika Anda melakukan ini, lupakan semua tentang hal itu dan kemudian tersesat ke jaringan yang buruk, ia dapat dengan mudah mencegat dan menumbangkan Release, packages.list, dan karenanya pada dasarnya menjalankan apa pun yang disukainya sebagai root di komputer Anda. Itu bukan ide yang bagus.

— Oli

2

Anda melewatkan poin saya. Jika seseorang dapat mencegat lalu lintas jaringan Anda, mereka bisa berpura-pura menjadi Google. Tidak ada TLS di http: // koneksi. Biasanya Apt mendukung Anda di sini karena mereka memeriksa apakah semua rilis dan daftar paket sudah ditandatangani. Jika Anda mencegatnya secara normal — dan dengan jahat mengubah sesuatu — Anda akan melihat kesalahan penandatanganan. Anda melewati seluruh mekanisme di sini.

— Oli

1

Memang. Terima kasih atas penjelasannya

— Dimitris Moraitidis

2

Setuju, tetapi untuk sementara Anda bisa membuatnya https dengan tepercaya = ya (untuk saat ini, anggap Anda bukan TLS MiTM). Misalnya:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

— link_boy

1

Memang benar. Jadi saya kira edit terakhir saya, setidaknya saya harus kembali ke 0 bukannya -2: P

— Dimitris Moraitidis

0

Sepertinya, seperti yang dikatakan @DooMMasteR, Google membiarkan penandatanganan sertifikat kadaluwarsa untuk repositori Linux mereka , yang jatuh tempo pada 12 April . @yareckon menjelaskan bahwa aptkesalahan keamanan ini berfungsi seperti yang diharapkan untuk mencegah perangkat lunak bertanda tangan buruk diinstal.

9 jam setelah masalah diposting, Google memperbaiki sertifikat secara transparan untuk pengguna yang menggunakan repo Google Chrome . Kesalahan berhenti setelah mereka memperbarui sertifikat, secara progresif juga di seluruh repo milik Google (Google Earth, Google Music Manager ...).

Tidak diperlukan tindakan (dan disarankan) dari sisi pengguna, hanya menunggu repo yang digunakan untuk ditandatangani dengan kunci yang diperbarui.

— Leo
sumber